Para anticipar las principales tendencias de seguridad cibernética y privacidad para el próximo año basta con dar una mirada a los eventos ocurridos en los últimos 12 meses. Entre ellos están las formas de ataque ya familiares, los ciberhacks de los principales sistemas corporativos y los sitios web que continuaron en 2018 e inevitablemente formarán parte de la escena de ciberseguridad de 2019. También, muchas organizaciones conocidas en todo el mundo sufrieron agresiones significativas este año.
Más allá de los ataques corporativos comunes, 2018 vivió una actividad de amenazas acelerada en una amplia gama de objetivos y víctimas. En el ámbito de las redes sociales, Facebook estimó que hackers robaron la información de usuario de casi 30 millones de personas. Una creciente variedad de estados nacionales utilizó sondas cibernéticas y ataques para acceder a todo, desde secretos corporativos hasta sistemas de gobierno e infraestructura confidenciales. A nivel personal, una violación de las cuentas del rastreador de salud MyFitnessPal de Under Armour resultó en el robo de datos privados de aproximadamente 150 millones de personas.
Entonces, ¿qué podemos esperar en el frente de seguridad cibernética del próximo año? Estas son algunas de las tendencias y actividades que probablemente más afectarán a organizaciones, gobiernos e individuos en el 2019 y más adelante.
Atacantes explotarán sistemas de Inteligencia Artificial (IA) y utilizarán la IA para auxiliar los asaltos
En los últimos años la esperada promesa comercial de la IA ha comenzado a materializarse, con sistemas impulsados por IA en uso en muchas áreas de las operaciones comerciales. Aun cuando estos sistemas automatizan de forma útil las tareas manuales y mejoran la toma de decisiones y otras actividades humanas, también emergen como prometedores objetivos de ataque, ya que muchos sistemas de IA albergan grandes cantidades de datos.
Además, los investigadores se están preocupando cada vez más por la susceptibilidad de estos sistemas a entradas maliciosas que puedan corromper su lógica y afectar sus operaciones. La fragilidad de algunas tecnologías de IA se convertirá en una preocupación creciente en el 2019.
De alguna manera, la aparición de sistemas críticos de IA como objetivos de ataque, comenzará a reflejar la secuencia vista hace 20 años con el Internet, que atrajo rápidamente la atención de los delincuentes cibernéticos y los piratas informáticos, especialmente después de la explosión del comercio electrónico.
Los atacantes no solo embestirán los sistemas de IA, sino que ellos mismos utilizarán técnicas de IA para mejorar sus propias actividades criminales. A su vez, los sistemas automatizados impulsados por IA podrían sondear redes y sistemas en busca de vulnerabilidades no descubiertas que puedan ser explotadas. La IA también podría usarse para hacer que los ataques de phishing y otros ataques de ingeniería social sean aún más sofisticados al crear videos y audios extremadamente realistas o correos electrónicos bien diseñados para engañar a personas específicas. La IA también puede ser usada para lanzar campañas de desinformación realísticas. Por ejemplo, imagina un video realista pero falso creado por una IA del CEO de una compañía que anuncia una gran pérdida financiera, una brecha de seguridad importante u otra noticia relevante. La publicación generalizada de este video falso podría tener un impacto significativo en la compañía antes de que se comprendan los hechos reales.
Y al igual que vemos los kits de herramientas de ataque disponibles para la venta en línea, lo que hace que sea relativamente fácil para los atacantes generar nuevas amenazas, estamos seguros de que eventualmente veremos herramientas de ataque impulsadas por la IA que pueden brindar incluso a pequeños delincuentes la capacidad de lanzar ataques dirigidos y sofisticados. Con estas herramientas que automatizan la creación de ataques altamente personalizados (ataques que han sido laboriosos y costosos en el pasado), estos kits de herramientas con inteligencia artificial pueden hacer que el costo marginal de crear cada ataque dirigido adicional sea esencialmente cero.
Los defensores dependerán cada vez más de la IA para contrarrestar los ataques e identificar las vulnerabilidades
La historia de seguridad de la IA también tiene su lado bueno. Los sistemas de identificación de amenazas ya utilizan técnicas de aprendizaje automático para identificar amenazas completamente nuevas. Y no solo los atacantes pueden usar los sistemas de inteligencia artificial para detectar vulnerabilidades abiertas. Los defensores pueden usar la IA para fortalecer el entorno de los ataques. Por ejemplo, los sistemas impulsados por la IA podrían lanzar una serie de ataques simulados en una red empresarial a lo largo del tiempo con la esperanza de que una iteración de ataque tropiece con una vulnerabilidad que pueda cerrarse antes de que los atacantes la descubran.
Más cerca de casa, es probable que IA y otras tecnologías empiecen a ayudar a las personas a proteger mejor su propia seguridad y privacidad digital. La IA podría estar integrada en los teléfonos móviles para advertir a los usuarios si ciertas acciones son riesgosas o no. Por ejemplo, cuando configura una nueva cuenta de correo electrónico, su teléfono puede advertir automáticamente que configure la autentificación de dos factores. Con el tiempo, esta inteligencia artificial basada en la seguridad también podría ayudar a las personas a comprender mejor las compensaciones que implica entregar información personal a cambio del uso de una aplicación u otro beneficio complementario.
La creciente implementación y adopción de 5G comenzará a expandir el área de superficie de ataque
Este año se iniciaron varias implementaciones de infraestructura de red 5G, y 2019 se perfila como un año de actividad 5G acelerada. Si bien tomará tiempo para que las redes 5G y los teléfonos y otros dispositivos con capacidad 5G se implementen de forma amplia, el crecimiento se producirá rápidamente. IDG, por ejemplo, llama a 2019 «un año seminal» en el frente de 5G, y predice que el mercado 5G y de infraestructura relacionada a 5G crecerá aproximadamente de $528 millones en 2018 a $ 26 mil millones en 2022, exhibiendo una tasa de crecimiento anual compuesta del 118 por ciento.
Aunque los teléfonos inteligentes son el foco de mayor interés del 5G, es probable que la cantidad de teléfonos con capacidad 5G sea limitada el año que viene. Como paso previo a la amplia implementación del 5G en las redes celulares, algunos operadores están ofreciendo puntos de acceso fijo de 5G móvil y ruteadores equipados con 5G para hogares. Dado que la velocidad de datos máxima de las redes 5G es de 10 Gbps, en comparación con los 1Gbps del 4G, el cambio a 5G catalizará nuevos modelos operativos, nuevas arquitecturas y, en consecuencia, nuevas vulnerabilidades.
Con el tiempo, más dispositivos 5G IoT se conectarán directamente a la red 5G en lugar de hacerlo a través de un ruteador Wi-Fi. Esta tendencia hará los dispositivos más vulnerables a ataques directos. Para usuarios del hogar, también hará más difícil monitorear todos los dispositivos IoT ya que evitan un ruteador central. En términos más generales, la capacidad de realizar copias de seguridad o transmitir volúmenes masivos de datos fácilmente al almacenamiento basado en la nube les dará a los atacantes nuevos objetivos.
Los eventos basados en IoT irán más allá de los ataques masivos de DDoS a nuevas formas de ataque más peligrosas
En los últimos años, los ataques masivos de denegación de servicio distribuido (DDoS) basados en botnets han explotado a decenas de miles de dispositivos IoT infectados para enviar volúmenes paralizantes de tráfico a los sitios web de las víctimas. Estos ataques no han recibido mucha atención de los medios últimamente, pero continúan ocurriendo y seguirán siendo una amenaza en los próximos años. Al mismo tiempo, podemos esperar ver dispositivos de IoT mal protegidos siendo destino de otros propósitos perjudiciales. Entre los más problemáticos se encuentran los ataques contra dispositivos de IoT que conectan los mundos digital y físico. Algunos de estos objetos habilitados para IoT son cinéticos, como automóviles y otros vehículos, mientras que otros controlan sistemas críticos. Esperamos ver un número creciente de ataques contra dispositivos IoT que controlan la infraestructura crítica, como la distribución de energía y las redes de comunicaciones. Y a medida que los dispositivos de IoT basados en el hogar se vuelvan más omnipresentes, es probable que haya futuros intentos de usarlos como armas, digamos, por una nación apagando los termostatos domésticos de un estado enemigo durante un duro invierno.
Los atacantes aumentarán la captura de datos en tránsito
Es probable que veamos a los atacantes explotar ruteadores Wi-Fi basados en el hogar y otros dispositivos
IoT de los consumidores que no estén bien protegidos y actualizados. Una vulnerabilidad que ya se está produciendo es la organización de los dispositivos de IoT para lanzar masivos esfuerzos de cryptojacking para explotar criptomonedas.
En 2019 y más allá, podemos esperar intentos cada vez mayores de obtener acceso a los ruteadores domésticos y otros centros de IoT para capturar algunos de los datos que pasan a través de ellos. Malwares insertados en dicho ruteador podría, por ejemplo, robar credenciales bancarias, capturar números de tarjetas de crédito o mostrar páginas web malintencionadas y falsas al usuario para comprometer la información confidencial. Estos datos confidenciales tienden a estar mejor protegidos cuando están en reposo hoy. Por ejemplo, los comerciantes del comercio electrónico no almacenan números de tarjetas de crédito, lo que dificulta a los atacantes robar tarjetas de crédito de las bases de datos del comercio electrónico. Sin duda, los atacantes continuarán evolucionando sus técnicas para robar datos de los consumidores cuando estén en tránsito.
En el lado empresarial, hubo numerosos ejemplos de datos en tránsito comprometidos en 2018. El grupo de ataque Magecart robó números de tarjetas de crédito y otra información confidencial de consumidores en sitios de comercio electrónico al incorporar scripts maliciosos directamente en sitios web específicos o comprometiendo a proveedores de terceros utilizados por el sitio. Tales ataques de «secuestro de formularios» han impactado recientemente los sitios web de numerosas compañías globales. En otro ataque dirigido a datos empresariales en tránsito, el malware VPNFilter también infectó una serie de ruteadores y dispositivos de almacenamiento conectados a la red, lo que le permitió robar credenciales, alterar el tráfico de la red, descifrar datos y servir como punto de inicio para otras actividades maliciosas dentro de las organizaciones objetivo.
Esperamos que los atacantes sigan centrándose en los ataques empresariales basados en la red en 2019, ya que brindan una visibilidad única de las operaciones y la infraestructura de la víctima.
Los ataques que exploten la cadena de suministro crecerán en frecuencia e impacto
Un objetivo cada vez más común de los atacantes es la cadena de suministro de software, donde los atacantes implantan malware en paquetes de software legítimos en su ubicación de distribución habitual. Dichos ataques podrían ocurrir durante la producción en el proveedor de software o en un proveedor externo. El escenario típico de ataque implica que el atacante reemplace una actualización de software legítima con una versión maliciosa para distribuirla de forma rápida y discreta a los objetivos previstos. Cualquier usuario que reciba la actualización del software automáticamente tendrá su computadora infectada, lo que le dará al atacante un punto de apoyo en su entorno.
Estos tipos de ataques están aumentando en volumen y sofisticación y podríamos ver intentos de infectar la cadena de suministro de hardware en el futuro. Por ejemplo, un atacante podría comprometer o alterar un chip o agregar un código fuente al firmware de UEFI / BIOS antes de que dichos componentes se envíen a millones de computadoras. Tales amenazas serían muy difíciles de eliminar, probablemente persistiendo incluso después de reiniciar una computadora afectada o de volver a formatear el disco duro.
La conclusión es que los atacantes continuarán buscando nuevas y más sofisticadas oportunidades para infiltrarse en la cadena de suministro de las organizaciones a las que se dirigen.
Las crecientes preocupaciones en materia de seguridad y privacidad impulsarán el aumento de la actividad legislativa y regulatoria
La implementación a mediados de 2018 de la Unión Europea del Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) probablemente será solo un precursor de varias iniciativas de seguridad y privacidad en países fuera de la Unión Europea. Canadá ya ha implementado una legislación similar a la GDPR, y Brasil recientemente aprobó una nueva legislación de privacidad similar a la GDPR, que entrará en vigor en 2020. Australia y Singapur han promulgado un aviso de incumplimiento de 72 horas inspirado por el GDPR, y la India está considerando una legislación inspirada en el GDPR. Varios otros países en todo el mundo tienen adecuación o están negociando esta adecuación a la GDPR. En los EE. UU., poco después de la llegada de la GDPR, California aprobó una ley de privacidad considerada como la más dura en los Estados Unidos hasta la fecha. Prevemos que el impacto total de la GDPR sea más claro en todo el mundo durante el próximo año.
A nivel federal de los EE. UU, el Congreso ya se está adentrando en las aguas de seguridad y privacidad. Es probable que dicha legislación gane más tracción y se materialice en el próximo año. Inevitablemente, habrá un enfoque continuo e incrementado en la seguridad del sistema electoral a medida que la campaña presidencial de los Estados Unidos 2020 se ponga en marcha.
Si bien estamos casi seguros de ver puntos altos en las medidas legislativas y regulatorias para abordar las necesidades de seguridad y privacidad, existe la posibilidad de que algunos requisitos resulten más contraproducentes que útiles. Por ejemplo, las regulaciones demasiado amplias podrían prohibir que las compañías de seguridad compartan incluso información genérica en sus esfuerzos por identificar y contrarrestar los ataques. Si están mal concebidos, las regulaciones de seguridad y privacidad podrían crear nuevas vulnerabilidades incluso cuando cierran otras.